WordPress FileBird 插件 CVE-2025-12900 授权缺失漏洞分析

本文详细分析了 WordPress 插件 FileBird 中存在的一个中等严重性漏洞。该漏洞源于授权缺失,允许具有作者及以上权限的攻击者在特定条件下注入全局文件夹并重新分配任意媒体附件。

CVE-2025-12900:FileBird WordPress 插件中的 CWE-862 授权缺失漏洞

严重性: 中等 类型: 漏洞

CVE-2025-12900

WordPress 的 FileBird – WordPress Media Library Folders & File Manager 插件在 6.5.1 及之前的所有版本中,通过 ConvertController::insertToNewTable 函数,由于对用户可控密钥缺乏验证,存在授权缺失漏洞。这使得经过身份验证的攻击者(具有作者级别及以上权限)能够在特定条件下注入全局文件夹,并将任意媒体附件重新分配到这些文件夹。

来源: CVE 数据库 V5 发布日期: 2025年12月15日,星期一

详细信息

数据版本: 5.2 分配者简称: Wordfence 预留日期: 2025-11-07T19:36:21.772Z Cvss 版本: 3.1 状态: 已发布 威胁 ID: 69401ef9d9bcdf3f3de1277a 添加到数据库: 2025年12月15日,下午2:45:13 最后更新: 2025年12月15日,下午2:46:38

相关威胁

  • CVE-2025-14383: Booking Calendar 插件中的 CWE-89 SQL 注入漏洞 (高危)。发布日期:2025年12月15日,星期一。
  • CVE-2025-14156: Fox LMS 插件中的 CWE-20 不当输入验证漏洞 (严重)。发布日期:2025年12月15日,星期一。
  • CVE-2025-14003: Image Gallery 插件中的 CWE-862 授权缺失漏洞 (中等)。发布日期:2025年12月15日,星期一。
  • CVE-2025-13950: OneSignal 插件中的 CWE-862 授权缺失漏洞 (中等)。发布日期:2025年12月15日,星期一。
  • CVE-2025-13728: FluentAuth 插件中的 CWE-79 跨站脚本漏洞 (中等)。发布日期:2025年12月15日,星期一。
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次